特定の企業や組織を狙ったサイバー攻撃である「標的型攻撃」。標的型攻撃の常とう手段は、標的とした企業・組織の従業員にウイルス(マルウエア)を添付したメールを送信すること()。従業員がウイルスを実行するとPCに感染して、攻撃者にPCを乗っ取られる。そして攻撃者は、ウイルス感染PCを足掛かりにして、社内ネットワークを“物色”し、機密情報を盗み出す。

図●標的型攻撃の概要
[画像のクリックで拡大表示]

 このように書くと、「添付ファイルを不用意に開くからウイルスに感染するんだ。注意していれば大丈夫」という声が聞こえてきそうだ。だが、攻撃の手口は巧妙化する一方。注意深い従業員でも被害に遭うのが現状だ。

 例えば、「取引先が送ってきたメールを盗み、その修正版に見せかけたウイルスメールを数時間後に送る」「通常のメールを複数回やり取りして、相手を信用させてからウイルスメールを送る」といった手口が確認されている(手口の詳細については、ITpro特集「標的型攻撃、脅威の手口」を参照)。

 後者については、就職活動が盛んな時期には、企業の人事担当者が狙われるという。攻撃者は就職希望者を装って、問い合わせのメールを送信する。このときには、ファイルを添付しない“無害”のメールを送る。Webサイトの問い合わせフォームを利用することもある。

 最初の問い合わせで担当者のメールアドレスを聞き出し、メールのやり取りを開始。そして「それでは履歴書を送ってください」という状況になったら、履歴書に見せかけたウイルスを送信するといった手はずだ。